Nämä olivat yleisimmät haittaohjelmat maaliskuussa – ”Kyberrikolliset hyödyntävät yhä useammin laillisia alustoja haittaohjelmien levitykseen”

Tietoturvayhtiö Check Point Software Technologies on julkaissut kuukausittaisen haittaohjelmakatsauksensa nyt maaliskuun osalta.

Check Pointin mukaan FakeUpdates oli edelleen Suomen ja maailman yleisin haittaohjelma. Tutkijat havaitsivat maaliskuussa uuden hyökkäyskampanjan, jossa sitä käytettiin RansomHub-kiristysohjelman levittämiseen. Hyökkäyksissä hyödynnettiin murrettuja verkkosivustoja, väärennettyjä Keitaro TDS -uudelleenohjauksia ja tekaistuja selaimen päivityskehotuksia, joiden avulla uhreja houkuteltiin lataamaan haittaohjelma.

FakeUpdatesin JavaScript-lataaja hyödyntää obfuskointia ja mahdollistaa tiedon varastamisen, komentojen suorittamisen sekä pysyvän pääsyn uhrin järjestelmiin. Tutkijoiden mukaan rikolliset käyttävät yhä useammin hyväkseen laillisia palveluita, kuten Dropboxia ja TryCloudflarea, välttääkseen havaitsemisen ja säilyttääkseen pääsyn kohteisiin.

Lisäksi tutkijat paljastivat maaliskuussa myös laajan Lumma Stealer -haittaohjelmaan liittyvän tietojenkalastelukampanjan, joka vaaransi yli 1 150 organisaatiota ja 7 000 käyttäjää Pohjois-Amerikassa, Etelä-Euroopassa ja Aasiassa. Hyökkäyksissä jaeltiin lähes 5 000 haitallista PDF-tiedostoa Webflown sisällönjakeluverkon kautta. Tiedostoissa käytettiin väärennettyjä CAPTCHA-kuvia, joiden avulla käynnistettiin PowerShell-komentoja ja asennettiin haittaohjelma. Tutkijat yhdistivät Lumma Stealerin myös väärennettyihin Roblox-peleihin ja troijalaiseksi muokattuun piraattiversioon Windowsin Total Commander -ohjelmasta, jota levitettiin kaapattujen YouTube-tilien kautta.

”Kyberrikolliset mukauttavat jatkuvasti toimintatapojaan ja hyödyntävät yhä useammin laillisia alustoja haittaohjelmien levitykseen ja tunnistuksen välttämiseen. Organisaatioiden on tärkeää pysyä valppaina ja ottaa käyttöön ennakoivia tietoturvatoimia tällaisten kehittyvien uhkien torjumiseksi”, sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Suomen yleisimmät haittaohjelmat maaliskuussa 2025 Check Pointin mukaan

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 6,49 %.
2. RomCom – Etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2022 ja kohdistuu erityisesti Windows-järjestelmiin. Se leviää tietojenkalastelukampanjoissa, joissa hyödynnetään troijalaisiksi muokattuja versioita laillisista ohjelmistoista. RomCom käyttää ICMP-pohjaista komento- ja ohjausliikennettä (C2). Haittaohjelma on yhdistetty uhkatoimijaryhmiin, kuten ”Tropical Scorpius”. Kohteina ovat olleet muun muassa Ukrainan sotilaslaitokset ja Yhdysvaltojen terveydenhuoltoalan organisaatiot. Esiintyvyys 1,30 %.
3. Raspberry Robin – Mato, joka havaittiin ensimmäisen kerran vuonna 2021. Se leviää ensisijaisesti tartunnan saaneiden USB-asemien kautta ja on tunnettu kehittyneistä tekniikoistaan, joiden avulla se pystyy välttämään havaitsemisen ja pysymään vaarantuneissa järjestelmissä. Kun järjestelmä on saanut tartunnan, Raspberry Robin voi helpottaa lisähaittaohjelmien lataamista ja suorittamista. Esiintyvyys 1,30 %.
4. AgentTesla – Kehittynyt etähallintatroijalainen (RAT), joka toimii näppäinlukijana ja tietovarkaana. Se pystyy seuraamaan ja tallentamaan uhrin näppäinpainalluksia, ottamaan näyttökuvia sekä varastamaan kirjautumistietoja useista uhrin koneelle asennetuista ohjelmista (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma). Esiintyvyys 1,30 %.
5. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilien tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Esiintyvyys 1,30 %.

Maailman yleisimmät haittaohjelmat maaliskuussa 2025 Check Pointin mukaan

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 8 %.
2. Remcos – Etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä suorittamaan haittaohjelmia korkeilla järjestelmäoikeuksilla. Esiintyvyys 3 %.
3. AgentTesla – Kehittynyt etähallintatroijalainen (RAT), joka toimii näppäinlukijana ja tietovarkaana. Se pystyy seuraamaan ja tallentamaan uhrin näppäinpainalluksia, ottamaan näyttökuvia sekä varastamaan kirjautumistietoja useista uhrin koneelle asennetuista ohjelmista (mukaan lukien Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma). Esiintyvyys 3 %.

Maailman yleisimmät mobiilihaittaohjelmat maaliskuussa 2025 Check Pointin mukaan

1. Anubis – Pankkitroijalainen, jossa on kiristyshaittaohjelmatoiminnot ja joka kohdistuu Android-laitteisiin.
2. Necro – Dropper-troijalainen, joka asentaa haittaohjelmia ja tilaa maksullisia palveluita käyttäjän tietämättä.
3. AhMyth – Etähallintatroijalainen (RAT), joka kohdistuu Android-laitteisiin ja naamioituu laillisiksi sovelluksiksi. Se hankkii laajat käyttöoikeudet varastaakseen arkaluonteisia tietoja, kuten pankkitunnuksia ja monivaiheisen todennuksen (MFA) koodeja.

Aktiivisimmat kiristysryhmät maaliskuussa 2025 Check Pointin mukaan

Tiedot perustuvat kiristyshaittaohjelmaryhmien tietovuotosivustoihin, joilla ryhmät julkaisevat uhriensa tietoja painostaakseen heitä maksamaan lunnaat. RansomHub oli aktiivisin kiristyshaittaohjelmaryhmä ja vastasi 12 prosentista julkaistuista hyökkäyksistä (Qilin ja Akira molemmat 6 %).

1. RansomHub – Aggressiivisista kampanjoistaan tunnettu RansomHub kohdistaa hyökkäyksiään muun muassa VMware ESXi -järjestelmiin ja käyttää edistyneitä salausmenetelmiä.
2. Qilin (tunnetaan myös nimellä Agenda) – Kiristysohjelmapalveluna (ransomware-as-a-service, RaaS) toimiva rikollisoperaatio, joka yhteistyökumppaneidensa kanssa salaa ja varastaa tietoja murrettujen organisaatioiden järjestelmistä ja vaatii niistä lunnaita. Qilin havaittiin ensimmäisen kerran vuonna 2022, ja se on kehitetty Golang-ohjelmointikielellä. Sen kohteina ovat olleet muun muassa terveydenhuolto- ja koulutussektorin toimijat, erityisesti suuryritykset. Qilin leviää yleensä haitallisia linkkejä sisältävien tietojenkalasteluviestien kautta. Saatuaan pääsyn verkkoon se pyrkii viemään arkaluonteista tietoa ja laajentamaan pääsyään verkon sisällä salattavan datan löytämiseksi.
3. Akira – Kiristyshaittaohjelmaryhmä, joka kohdistuu Windows- ja Linux-järjestelmiin. Ryhmä on yhdistetty tietojenkalastelukampanjoihin ja VPN-päätelaitteiden haavoittuvuuksien hyväksikäyttöön, mikä tekee siitä merkittävän uhan organisaatioille.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla